安全公司 Check Point Research 报告了一种伪装成 TP-Link 路由器固件的恶意程序,包含了完整的后门功能,允许攻击者和被感染设备建立通信和文件传输,远程发送指令,上传、下载和删除文件。恶意程序的主要目的被认为是充当代理掩盖通信来源。Check Point Research 发现其指令控制基础设施由 APT 组织 Mustang Panda 控制。Check Point 推荐路由器用户检查是否连接域名 m.cremessage[.com],管理面板中是否有修改过的升级固件,是否存在 /vat/udhcp.cnf、/var/udhcp 和 .remote_shell.log 等文件。如果存在那么路由器很可能被感染了。TP-Link 尚未对此报告发表评论。
https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/